Qcon2016回顾:带你走出安全开发之“坑”
2016年4月21-23日, Qcon全球软件开发大会在北京国际会议中心成功举办。安全,作为信息时代挥之不去的几大问题之一,也在本届大会上引起了相当多的关注。4月23日,黑客专场——“打破规则,我是黑客”的一系列关于黑客、企业安全、安全开发的分享讨论,吸引了大量的观众。其中,来自北京永信至诚科技股份有限公司的信息安全服务咨询工程师吴海涛为大家带来的——“安全”开发之“坑无止境”主题分享,引起了与会开发者们的极大共鸣。
曾身为开发者的吴海涛从当年遇到的安全问题聊起,逐步为开发者们揭开软件开发和安全编程这两个层面互为支撑、保持平衡的重要性。
软件的开发模式、流程、框架对开发者来说尤为重要,在实际的敏捷开发为了完成短平快的需求,人们往往容易忽视掉安全编程在软件实际应用中的重要作用,有时安全防护产品并不能完全保证开发环境的安全,也由此导致了一系列不必要发生的软件安全问题。
吴海涛层通过某次简单的蹭网连接而进行的真实渗透测试案例发现,系统账号密码和开发环境弱口令问题突出,甚至有多处密码通用的情况出现,开发环境的安全配置不重视、个人PC弱口令.敏感文件随意存放、内网平台或产品漏洞也成为常态。而导致这些情况发生的根本原因正是相关开发人员、厂商缺乏安全意识。
可以说,安全系统的设计和运营都是人完成的,人的知识、技术水平决定了系统的可靠性,人的可靠性直接影响到整个系统。信息安全的核心是人的安全,人自身的安全意识和能力直接决定了信息安全系统的稳定。
那么,除了开发工作过程中要注意安全防范之外,我们的对日常信息安全的保障又能做些什么呢?
时下流行移动办公,很多人都会在咖啡馆点一杯咖啡,打开电脑和手机连上免费Wi-Fi,看似悠闲的办公。而实际上,不法黑客会通过伪造虚假响应包(Probe Response)来回应STA(Wireless station,手机、平板等客户端等)探测(Probe Request)的攻击方式,让客户端误认为范围内存在曾经连接过的WiFi热点,从而骗取客户端的连接。
而另外一个例子更为典型,i春秋的一名白帽黑客和女友吵架后,女友因工作外出,并没有告诉黑客出差地点,而机智的黑客仅凭在和女友的聊天中得到信息,就分析出了女友所在的准确地点。这不是美国间谍电影中的桥段,只是生活信息中的冰山一角,试想如果这两个人不是情侣关系,那是否会有危险发生?如果那个人是你呢?
互联网技术发展越快,安全就越重要。信息时代,到处是看不见的“坑”,只有深入了解网络安全才能拥有更多的安全感。让信息安全走入寻常百姓家,不论是开发者、运维人员还是基本不懂安全技术的小白,都非常有必要在工作和生活中保有充足的安全意识,甚至是花费一定的精力来学习能够保护自己隐私财产和工作成果的安全技能。
未来学习网络安全,必将会成为每个人必须掌握的一项基本生活技能,永信至诚愿在网络安全的路上陪在每一个人的身边,给你信息时代的安全感!
关于永信至诚
北京永信至诚科技股份有限公司成立于2010年,主要从事网络安全前沿技术研究、产品研制和安全服务,公司拥有完全自主知识产权的网络安全产品、安全服务工具,以及专业的安全技术研究和服务团队。依靠专业的网络安全渗透测试技术和健全的技术预研、产品研发、服务支撑三大体系,持续强化对网络信息安全领域业务管理流程的理解和技术创新,为我国网络安全整体能力的提升保驾护航。
e春秋网络安全实验室
“e春秋”依靠专业的网络安全渗透测试技术和健全的技术预研、产品研发、服务支撑三大体系,以及对信息安全人才体系培养的深刻理解,持续强化对中国企业级网络信息安全领域业务管理流程的理解和技术创新的同时,提供在此基础上针对企业级信息安全人才的深入实战能力及技术前瞻性的培训、培养。
“e春秋”产品已在运营商、教育、金融、国有央企、大型企业、以及各涉密行业、政府机关单位等内部开展深度应用,充分满足了这些行业客户的对抗训练、对抗业务、人才培养与安全试验需求,业已成为了这个领域应用最广、客户满意度最高的平台产品。
i春秋学院——培养信息时代的安全感
“i春秋”是中国信息安全在线教育知名品牌,由中国最早一批顶尖信息安全专家研发而成,并结合各类用户需求进行迭代,是体验非常好的、技术最优、前瞻性最强的信息安全在线教育实训平台。
“i春秋”面向全国甚至全球信息安全技术从业者、技术爱好者、学习者以及企业信息安全培训,以互联网为平台跨时间和空间,建立理论学习加实战的新模式,使得技术水平得到快速成长,并紧密跟随最新攻防技术,成为真正有知识、有技能、有战斗力的信息安全优秀人才。
企安殿——i春秋企业账号
企安殿(i春秋企业账号)是i春秋学院专为各大企事业单位用户开辟的企业级专项账户体系,用户可以在企安殿中获得:
企业账号管理——提供1个管理员账户与N个学习账户
免费海量课程——多达100门,1000节课程,后期课程持续更新中,一年内全部免费学习
专享定制课程——i春秋专属定制课程服务仅由企安殿用户私享
闪电实战实验——学完即可实战,通过实验平台实际操作检验学习效果
学习效果跟踪——企业个人可查看学习进度,管理员可查看学员学习情况
企业漏洞修复专项培训——针对企业的已有漏洞,免费提供一次漏洞修复专项培训
专属VIP服务——提供7*24小时专属在线客服快速响应企业问
企安殿尊属客服专线:400-081-0906
企安殿尊属邮箱:qiandian@ichunqiu.com
了解更多,可登陆企安殿专属通道 www.ichunqiu.com/qiand